Perché 2FA non è considerato perfetto se usato per proteggere un account?

Naviga le tue risposte
2

Spesso vedo che se viene configurato e abilitato, 2FA aumenterà la sicurezza di un account, aggiungerà un ulteriore livello di sicurezza, tuttavia un utente malintenzionato potrebbe comunque ottenere l'accesso a detto account in qualche modo.

Considerando lo scenario: ho configurato 2FA nel mio account GitHub e utilizzo l'app Google Authenticator.

Se l'autore dell'attacco aveva la password del mio account (keylogger sul mio computer o attacco simile), come sarebbe possibile passare attraverso 2FA senza accesso fisico al mio telefono?

    
posta Filipe dos Santos 03.12.2018 - 11:57
fonte

3 risposte

2

Bene, odio dirti questo, ma Google Authenticator plus password non è un'autenticazione a due fattori. La corretta 2FA è composta da due elementi separati tradizionalmente dalla triade "qualcosa che hai" (oggetto fisico, che può contenere un segreto), "qualcosa che conosci" (segreto) e "qualcosa che sei" (spesso biometrica).

La password più Google Authenticator è probabilmente meglio riassunta come password e soft token , come ha fatto Troy Hunt in un recente post sul blog. Fondamentalmente, l'app memorizza un segreto e utilizza tale segreto per generare password temporanee.

Se qualcuno è in grado di penetrare nel tuo computer tascabile phone con una varietà di interfacce radio con software arbitrario, potenzialmente ostile, potrebbero presumibilmente trovarne modo per estrarre quei segreti. Una volta estratti, potrebbero essere trapiantati su un altro telefono, che ora genererebbe le stesse password temporanee.

Questo non significa che un "soft" 2FA non ha significato. Aumenta considerevolmente la barra per un aggressore. Ma è ancora una variazione su "qualcosa che conosci"; solo che la parte conoscitiva viene eseguita dal tuo telefono, piuttosto che dal tuo cervello (o, si spera, gestore della password).

Affermare che qualcosa è "impeccabile" significa che ci deve essere, come minimo, nessun modo concepibile con cui possa essere sfruttato da un utente malintenzionato. Sembra una barra piuttosto alta da incontrare per un computer di uso generale che esegue software arbitrario che memorizza un segreto di alto valore.

Meglio limitarsi a dire che rende più difficile il lavoro di un aggressore.

    
risposta data 03.12.2018 - 17:21
fonte
0

I metodi di autenticazione a due fattori che coinvolgono l'utente che digita una password nel sito Web sono ancora vulnerabili agli attacchi di phishing. Se accidentalmente visiti un sito di GitHub con un URL simile e inserisci nome utente e password, il server del sito di impostor può inoltrare nome utente e password a GitHub, vedere la richiesta di password 2FA, mostrarla a te e quindi inoltrarla la password 2FA che inserisci in GitHub. Quindi il server del sito impostor verrà registrato come te su GitHub e può fare qualsiasi cosa con il tuo account. (Il sito degli impostori potrebbe persino indirizzare il traffico verso GitHub, quindi il sito di impostore sembra proprio come GitHub se tu fossi loggato. O il sito di impostore potrebbe semplicemente reindirizzare alla pagina di login di GitHub e ti farà pensare di aver effettuato l'accesso in modo errato.)

Le chiavi di sicurezza hardware a due fattori che utilizzano gli standard FIDO / U2F sono immuni da attacchi di phishing come questo. Quando ti connetti e utilizzi una chiave di sicurezza, il tuo browser indica il dominio del sito in cui ti trovi e la chiave di sicurezza adatta la sua risposta in base al dominio. Quindi, se sei accidentalmente in un sito di phishing con un URL diverso dall'URL di GitHub, la chiave di sicurezza non darà la stessa risposta che fa per GitHub, e quindi il sito di impostore non avrà una risposta alla chiave di sicurezza per GitHub per procurare a GitHub. (Tuttavia, se l'autore dell'attacco è riuscito a farti connettere la chiave di sicurezza a un computer compromesso o ti ha installato un browser modificato, l'utente malintenzionato potrebbe richiedere alla chiave di sicurezza che il sito di impostore era GitHub.)

    
risposta data 03.12.2018 - 22:17
fonte
-2

2FA non fa molto per prevenire gli attacchi di MITM / phishing.

Dico che ti ho inviato per email lo spoofing Github dicendo che il tuo account è stato compromesso, fai clic sul link che ti porta a git-hub.com, poi inserisci i dettagli del tuo account sul mio server che il mio script inserirà su github.com. Quindi il mio sito web chiederà il tuo codice 2FA che procederò a inoltrare a Github e mi hai lasciato entrare nel tuo account con 2FA.

Dopodiché ti reindirizzerò su github.com dove ti eri ancora loggato e non avrai idea di farmi entrare.

Se fossi in grado di eseguire il keylog del tuo computer, questo sarebbe ancora più facile in quanto potrei installare un DNS malvagio e un certificato, quindi navigare su github.com ti porterà direttamente al mio sito.

    
risposta data 03.12.2018 - 12:34
fonte

Leggi altre domande sui tag

Qualsiasi suggerimento Scambiare chiave condivisa tra processo via porta in macchina non fidata (ha infettato il mio malware)? Mitigazione di Spettro e Meltdown che interessano il SO dell'host dal SO guest (Virtualbox)